ChatGPT im Unternehmen: Was der AI Act ab August 2026 vorschreibt
Kurz zusammengefasst: Wer ChatGPT oder andere KI-Tools im Unternehmen einsetzt, ist laut EU KI-Verordnung (2024/1689) ein KI-Betreiber mit konkreten Pflichten. Die wichtigste: Mitarbeiter schulen [Art. 4 KI-VO]. Diese Pflicht gilt bereits seit Februar 2025. Ab August 2026 kommen Transparenz- und Dokumentationspflichten hinzu. Wer ChatGPT für Recruiting, Kreditentscheidungen oder Leistungsbewertung nutzt, muss mit Hochrisiko-Auflagen rechnen. Bußgelder bis 35 Millionen Euro sind möglich.
Warum ChatGPT-Nutzer den AI Act kennen müssen
Laut einer Bitkom-Erhebung aus 2025 nutzen bereits mehr als 60 % der deutschen KMU generative KI-Tools — allen voran ChatGPT. E-Mails formulieren, Angebote zusammenfassen, Protokolle schreiben: Was wie ein einfaches Produktivitäts-Tool wirkt, macht Sie rechtlich zu einem KI-Betreiber im Sinne der EU KI-Verordnung.
Das bedeutet: Sie haben Pflichten. Nicht OpenAI — Sie. OpenAI ist der Anbieter (Provider) von ChatGPT. Ihr Unternehmen ist der Betreiber (Deployer). Diese Unterscheidung ist zentral für das Verständnis Ihrer Compliance-Pflichten.
Die drei Rollen im AI Act:
- Anbieter (Provider): Entwickelt das KI-System — z.B. OpenAI für ChatGPT, Microsoft für Copilot. Hat die umfangreichsten Pflichten.
- Betreiber (Deployer): Nutzt das KI-System im eigenen Geschäftsprozess — das sind Sie als KMU. [Art. 3 Abs. 4 KI-VO]
- Distributor: Vertreibt das System ohne wesentliche Änderung — z.B. ein IT-Reseller.
Die meisten KMU sind Betreiber. Ihre Pflichten sind klar geregelt — und überschaubar, wenn man sie systematisch angeht.
Welche Pflichten gelten konkret für ChatGPT-Nutzer?
1. KI-Kompetenz sicherstellen — bereits seit Februar 2025 Pflicht
Art. 4 der KI-Verordnung verlangt, dass Betreiber sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das gilt nicht erst ab August 2026 — diese Pflicht ist seit dem 2. Februar 2025 in Kraft.
Konkret bedeutet das für ChatGPT: Mitarbeiter, die das Tool regelmäßig nutzen, müssen verstehen, wie ein großes Sprachmodell funktioniert, wo seine Grenzen liegen (Halluzinationen, veraltetes Wissen, Bias) und in welchen Situationen sie Ergebnisse nicht blind übernehmen dürfen.
Ein Handwerksbetrieb aus Münster hat 2025 folgende Lösung umgesetzt: Zweistündige Pflichtschulung für alle ChatGPT-Nutzer, dokumentiert im KI-Inventar. Aufwand: ein Nachmittag. Ergebnis: rechtssichere Nachweisführung. [Art. 4 KI-VO]
2. KI-Inventar anlegen und pflegen
Sie müssen dokumentieren, welche KI-Systeme Sie einsetzen, wofür, und wer damit arbeitet. ChatGPT gehört in dieses Inventar — genauso wie Copilot, Midjourney oder branchenspezifische KI-Tools Ihres ERP-Systems.
Das KI-Inventar muss nicht aufwändig sein. Ein strukturiertes Excel-Dokument mit folgenden Feldern reicht für die meisten KMU:
- Name des KI-Systems und Anbieter
- Einsatzzweck im Unternehmen
- Betroffene Mitarbeiter oder Kundenprozesse
- Risikoklassifizierung (niedrig / mittel / hoch)
- Zuständige Person und Datum der letzten Prüfung
3. Transparenzpflicht bei Kundenkontakt — Art. 50 KI-VO
Wenn Sie ChatGPT nutzen, um direkt mit Kunden zu kommunizieren — etwa als Chatbot auf Ihrer Website oder für automatisiert generierte E-Mails — greift Art. 50 der KI-Verordnung: Kunden müssen erkennen können, dass sie mit KI interagieren.
Praxisbeispiele, bei denen Art. 50 relevant wird:
- Kundenservice-Chatbot der von ChatGPT angetrieben wird
- Automatisch generierte Angebots- oder Bestätigungs-E-Mails
- KI-generierte Produktbeschreibungen auf Ihrer Website
Die Lösung ist einfach: Ein kurzer Hinweis wie „Diese Antwort wurde mit Unterstützung von KI erstellt" oder „Dieser Chatbot wird von einer KI betrieben" reicht. [Art. 50 Abs. 1 KI-VO]
Vorsicht bei diesen ChatGPT-Anwendungsfällen: Wenn Sie ChatGPT einsetzen für Bewerbungsauswahl, Leistungsbeurteilung von Mitarbeitern, Kreditwürdigkeitsprüfung oder medizinische Diagnoseunterstützung — handelt es sich möglicherweise um ein Hochrisiko-KI-System nach Anhang III der KI-Verordnung. Dann gelten deutlich strengere Anforderungen: Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht und Registrierungspflicht. [Art. 6, Anhang III KI-VO]
Wann wird ChatGPT zur Hochrisiko-KI?
ChatGPT selbst ist kein Hochrisiko-System. Aber der Zweck, für den Sie es einsetzen, kann es dazu machen. Anhang III der KI-Verordnung listet Bereiche, in denen KI-Systeme automatisch als Hochrisiko eingestuft werden:
| Einsatzbereich | Hochrisiko? | Beispiel mit ChatGPT |
|---|---|---|
| Textentwürfe, Protokolle, Zusammenfassungen | Nein | E-Mails formulieren, Meeting-Protokoll erstellen |
| Marketing und Werbetexte | Nein | Produktbeschreibungen, Social-Media-Posts |
| Kundenservice-Chatbot | Art. 50 | Transparenzpflicht, kein Hochrisiko |
| Bewerbungsscreening / Recruiting | Hochrisiko | CVs vorfiltern, Kandidaten bewerten |
| Mitarbeiter-Leistungsbewertung | Hochrisiko | Produktivitätsdaten analysieren, Beurteilungen erstellen |
| Kreditwürdigkeit / Finanzentscheidungen | Hochrisiko | Bonität einschätzen, Zahlungsrisiken bewerten |
Die gute Nachricht: Für die überwältigende Mehrheit der KMU-Anwendungsfälle — Textgeneration, interne Recherche, Zusammenfassungen — ist ChatGPT kein Hochrisiko-System. Die Basispflichten (Schulung, Inventar, Transparenz) reichen aus.
Die 4 Schritte zur ChatGPT-Compliance bis August 2026
- KI-Inventar anlegen: Erfassen Sie alle KI-Tools im Unternehmen. ChatGPT, Copilot, branchenspezifische Tools — alles in ein Dokument. Verantwortliche Person benennen.
- Risikoklassifizierung durchführen: Für jeden Einsatzzweck prüfen: Ist das Hochrisiko laut Anhang III? Für Standard-Anwendungen reicht die Einstufung "niedrig" mit kurzer Begründung.
- Schulung dokumentieren: Alle ChatGPT-Nutzer schulen (Funktionsweise, Grenzen, Verantwortung) und schriftlich festhalten. Wer, wann, welche Inhalte. [Art. 4 KI-VO]
- Transparenz-Hinweise einrichten: Falls ChatGPT im Kundenkontakt eingesetzt wird — Hinweistexte ergänzen. Bei reiner interner Nutzung: kein Handlungsbedarf.
Was kostet ChatGPT-Compliance?
Das ist die Frage die sich KMU-Geschäftsführer stellen — und die Antwort ist erfreulich: Deutlich weniger als eine externe Beratung.
| Weg | Kosten | Aufwand |
|---|---|---|
| Externe Compliance-Beratung | 2.000–8.000 € einmalig | Mehrere Termine, langer Vorlauf |
| SaaS-Compliance-Tool (Abo) | 89–319 €/Monat | Einrichtung + laufende Pflege |
| AI Act Compliance Kit | ab 149 € einmalig | Sofort einsatzbereit, kein Abo |
| Selbst erarbeiten | 0 € | 20–40 Stunden Zeitaufwand |
Das AI Act Compliance Kit enthält alle Vorlagen die Sie für die ChatGPT-Compliance benötigen: KI-Inventar-Template, Schulungsdokumentation, Risikoklassifizierungs-Tool und den 90-Tage-Umsetzungsplan — fertig zum Ausfüllen, ohne juristische Vorkenntnisse.
Jetzt ChatGPT-Compliance umsetzen — ab 149 €
11 sofort einsetzbare Vorlagen zur EU KI-Verordnung. KI-Inventar, Schulungsdokumentation, Risikoklassifizierung — fertig für Ihr Unternehmen. Einmalkauf, kein Abo. 91 Tage bis zur August-Deadline.
Kit ansehen – ab 149 €Häufige Fragen zu ChatGPT und dem AI Act
Muss ich OpenAI informieren, dass ich ChatGPT für Compliance-relevante Zwecke nutze?
Nein. Als Betreiber haben Sie eine direkte Verantwortung gegenüber der Behörde — nicht gegenüber OpenAI. OpenAI stellt Ihnen als Anbieter die Compliance-Dokumentation zu ChatGPT zur Verfügung (einsehbar über die OpenAI Trust Center). Diese können Sie als Grundlage für Ihr eigenes Risiko-Assessment nutzen.
Gilt der AI Act auch für die kostenlose ChatGPT-Version?
Ja. Der AI Act unterscheidet nicht nach kostenloser oder kostenpflichtiger Nutzung. Maßgeblich ist der Einsatzzweck im Unternehmen — nicht die Lizenz.
Was ist wenn mein ERP oder CRM-System bereits KI integriert hat?
Dann sind diese eingebetteten KI-Funktionen ebenfalls zu dokumentieren. Der Anbieter Ihres ERP-Systems (z.B. SAP, Datev) ist für die Compliance des KI-Moduls verantwortlich — Sie als Betreiber müssen dennoch den Einsatzzweck dokumentieren und Ihre Mitarbeiter schulen. Schauen Sie in die Datenschutzunterlagen Ihres Anbieters: Viele liefern bereits AI Act-Dokumentation mit.
Reicht die Datenschutzerklärung für ChatGPT-Nutzung?
Nein. DSGVO und AI Act sind getrennte Regelwerke mit unterschiedlichen Anforderungen. Eine DSGVO-konforme Nutzung von ChatGPT bedeutet nicht automatisch AI Act-Compliance. Sie brauchen zusätzlich das KI-Inventar und die Schulungsdokumentation.
Weiterführende Artikel:
AI Act Pflichten für KMU 2026: Der vollständige Überblick
Art. 4 KI-Kompetenz: Was die Schulungspflicht konkret bedeutet
AI Act Checkliste für Betreiber